Sucuriは10月24日(米国時間)、「How to Secure the WordPress Login Page(10 Simple Steps)」において、攻撃を受けやすいWordPressのログインページの保護の重要性と対策について解説した。
WordPressは世界で最も多く利用されるCMS(Content Management System)プラットフォームとされる。それだけにWordPressは攻撃者に最も標的とされやすいプラットフォームと評価されており、適切に保護する必要がある。WordPressのセキュリティについては、推奨されるベストプラクティスがさまざまなWebサイトで公開されている。
Sucuriは、攻撃者が最も多く悪用するWordPressのエントリポイントはログインページだとして、ログインページのセキュリティについて解説している。ログインページが最も多く狙われる理由は、その予測可能性にあるという。WordPressを使用して管理するWebサイトはデフォルトで同じURLからログインするため、脅威アクタは事前に調査をすることなくログインページを攻撃することができる。
SucuriはWordPressのログインページを保護するために、次のような対策を推奨している。
- すべてのアカウントに一意で強力なパスワードを使用する
- デフォルトのログインURLを変更する
- ブルートフォース攻撃を防止するために、ログイン試行回数を制限する
- 二要素認証(2FA: Two-Factor Authentication)を導入する
- ログインページにキャプチャ(CAPTCHA: Completely Automated Public Turing test to tell Computers and Humans Apart)を追加する
- wp-config.phpファイルを強化する
- ニックネームを設定してWordPressユーザー名を非表示にする
- 古いユーザーアカウントを削除する
- 使用しないプラグインとテーマを削除する
- WordPressコア、プラグイン、テーマ、その他のコンポーネントを更新する
Sucuriは上記の対策について、なぜ必要なのか、どのようにして実現するのかを具体的に解説している。これら対策を行うことで、Webサイトへの脅威を軽減可能とされる。WordPressを利用したWebサイトにおいて十分な対策が実施できていないと考えられる管理者は、上記の対策を確認しながら必要に応じて実践し、Webサイトを適切に保護することが望まれている。